LVMでLUKSを使用すると、LVMキャッシュにセキュリティの脆弱性がありますか?

LVMでLUKSを使用すると、LVMキャッシュにセキュリティの脆弱性がありますか?

LVMがあるボリュームグループには2つのハードドライブがあります。このボリュームグループ内のすべてのボリュームには LUKS コンテナが含まれています。このボリュームグループにSSDをLVMキャッシュとして追加すると、キャッシュデバイスのすべてのデータが暗号化されますか?

キャッシュされたコンテンツを検証するツールはボーナスポイントを獲得できます。

答え1

LUKSコンテナをキャッシュしているため、キャッシュも暗号化されます。

私は私のpv(実際のpvとキャッシュとして使用されるpv)がluksの上にある別の設定を使用しています。

暗号化されていないキャッシュされていないLVM:

[Disk 1  ]
[PV Data ]
[VG      ]
[LV      ]
[Filesyst]

LVMキャッシュの使用は暗号化されません。

[Disk 1  ] [Disk 2   ]
[PV Data ] [PV Cache ]
[VG                  ]
[LV      ]-----------]
[Filesyst]

あなたの:

[Disk 1  ] [Disk 2   ]
[PV Data ] [PV Cache ]
[VG                  ]
[LV      ]-----------]
[LUKS    ]
[Filesyst]

私のもの:

[Disk 1  ] [Disk 2   ]
[LUKS    ] [LUKS     ]
[PV Data ] [PV Cache ]
[VG                  ]
[LV      ]-----------]
[Filesyst]

どちらのバリアントも非常によく暗号化されており、LVMをLUKSの上に置くか、その逆に置くようにアドバイスが見つからなかったため、LUKSの上にLVMをインストールするためのFedoraのデフォルトを使用しました。 (私の記憶が正しい場合、Debianには基本的に異なるバージョンがあります)

欠陥、暗号化されたデータ、暗号化されていないキャッシュ:

[Disk 1  ] [Disk 2   ]
[LUKS    ] ⎡ unenc   ⎤
[PV Data ] ⎣PV Cache ⎦
[VG                  ]
[LV      ]-----------]
[Filesyst]

実際にボーナスポイントではありません。キャッシュデバイスでphotorecを実行してみることができます。ただし、これは何かが見つかった場合にのみキャッシュに欠陥があることを証明するだけであり、見つからないとキャッシュが暗号化されたという意味ではありません。 LVMキャッシュは、順序付けられた/「フラグメントコレクション」データを保持する必要がないため、状況がさらに困難になります。

答え2

このボリュームグループにSSDをLVMキャッシュとして追加すると、キャッシュデバイスのすべてのデータが暗号化されますか?

はい、LVMキャッシュはブロックと直接機能するため、暗号化されます。基本データが何なのかわかりません。

キャッシュされたコンテンツを検証するツールはボーナスポイントを獲得できます。

Hexエディタ(hexedit、dhexなど)を実行し、論理ボリュームを直接開きます。暗号化されたデータはノイズのように見えます。

関連情報